A Radiant Capital, uma das principais plataformas de finanças descentralizadas (DeFi), confirmou que o hack de US$ 50 milhões sofrido em outubro foi executado por um grupo de hackers ligado ao governo da Coreia do Norte.
O ataque ocorreu por meio de um malware disfarçado enviado a desenvolvedores da plataforma, explorando vulnerabilidades para roubar fundos.
Detalhes do ataque e investigação
O incidente começou em setembro de 2024, quando um desenvolvedor da Radiant recebeu uma mensagem no Telegram de um hacker que se passou por um ex-contratado confiável. A mensagem incluía um arquivo zip que, ao ser compartilhado entre outros desenvolvedores, instalou um malware nos dispositivos da equipe.
🚨 Radiant Capital Incident Update 🚨
A detailed update on the October 16 incident is now available, with Mandiant’s ongoing investigation attributing the attack with high confidence to a Democratic People’s Republic of Korea (DPRK)-linked threat actor.
The report sheds light…
— Radiant Capital (@RDNTCapital) December 7, 2024
Esse malware permitiu aos hackers comprometerem várias chaves privadas e contratos inteligentes. No dia 16 de outubro, a Radiant foi forçada a suspender seus mercados de empréstimo, enquanto os invasores movimentavam os fundos roubados.
De acordo com a investigação conduzida pela Mandiant, empresa de cibersegurança contratada pela Radiant, o ataque foi atribuído ao grupo UNC4736, também conhecido como ‘Citrine Sleet’. Esse grupo é associado à principal agência de inteligência da Coreia do Norte, o Reconnaissance General Bureau.
‘Este incidente demonstra que até mesmo SOPs rigorosos, carteiras de hardware, ferramentas de simulação como Tenderly e revisão humana cuidadosa podem ser contornados por agentes de ameaças altamente avançados’, escreveu a Radiant Capital em sua atualização.
Impacto e consequências no mercado DeFi
O ataque expôs as fragilidades das plataformas DeFi, mesmo com medidas rigorosas de segurança em vigor.
A Radiant utilizava práticas como o uso de hardware wallets e simulações de transações no Tenderly, mas ainda assim foi vulnerável à sofisticação do ataque. Após o incidente, os hackers transferiram cerca de US$ 52 milhões em fundos roubados.
O impacto no ecossistema da Radiant foi significativo, com o valor total bloqueado (TVL) da plataforma caindo de US$ 300 milhões no final de 2023 para aproximadamente US$ 5,8 milhões em dezembro de 2024, segundo a DefiLlama.
O caso ressalta a necessidade de soluções mais avançadas e robustas para proteger os ativos digitais e mitigar riscos no crescente mercado DeFi.
